據(jù)報(bào)道前日大量社保系統(tǒng)相關(guān)漏洞出現(xiàn)在補(bǔ)天漏洞響應(yīng)平臺(tái)上��。
補(bǔ)天漏洞響應(yīng)平臺(tái)發(fā)布信息稱�����,社保系統(tǒng)����、戶籍查詢系統(tǒng)、疾控中心����、醫(yī)院等大量爆出高危漏洞的省市已經(jīng)超過30個(gè)���,包括重慶、上海��、河南等����,涉及用戶數(shù)量達(dá)數(shù)千萬。這些漏洞的存在�,可能導(dǎo)致發(fā)生泄露的信息包括個(gè)人身份證、社保參保信息����、房屋產(chǎn)權(quán)、個(gè)人聯(lián)系方式等��。
該平臺(tái)的漏洞信息顯示��,陜西省人力資源和社會(huì)保障廳社保系統(tǒng)漏洞�,可能泄露全省至少213萬農(nóng)村參與社保人員的信息,黑客可利用漏洞隨意修改社保待遇��,停發(fā)社保金����;某社保局某系統(tǒng)存在漏洞����,300萬醫(yī)療�����、養(yǎng)老�、社保參保人員敏感信息疑遭泄露�。
有媒體援引補(bǔ)天漏洞響應(yīng)平臺(tái)相關(guān)負(fù)責(zé)人的話稱,目前并不能確定這些省市的居民社保信息已經(jīng)被泄露�����。“我們只是檢測(cè)到這些系統(tǒng)存在高危漏洞����,有泄露信息的風(fēng)險(xiǎn)。”
上述人士稱�,補(bǔ)天平臺(tái)發(fā)現(xiàn)的漏洞大多數(shù)是由于網(wǎng)站搭建時(shí)期編寫代碼時(shí)有缺陷造成的,通過這些缺陷���,黑客可能入侵到網(wǎng)站主機(jī)����,獲取后臺(tái)核心數(shù)據(jù)。
如���,社保系統(tǒng)里的信息包括了居民身份證��、社保�、薪酬等敏感信息����,一旦泄露,用戶首先可能會(huì)遇到許多定向廣告���、惡意推銷或詐騙�。此外����,通過社保密碼、生日信息����,犯罪分子可能會(huì)套出用戶的一些賬戶密碼,也可能利用這些信息復(fù)制身份證����、盜辦信用卡����,給用戶造成經(jīng)濟(jì)損失�。
目前,已有多個(gè)地方和補(bǔ)天平臺(tái)溝通���,他們已對(duì)這些地方的社保查詢系統(tǒng)進(jìn)行修復(fù)���,“40%的漏洞已被修復(fù)”�。
在第三方安全漏洞平臺(tái)上,“白帽子”們通過發(fā)現(xiàn)網(wǎng)站中的安全漏洞���,在“黑帽子”利用它們之前���,提交到平臺(tái)上,或者向廠商報(bào)告���,希望廠商及時(shí)進(jìn)行修復(fù)��。
除了漏洞報(bào)告平臺(tái)本身�����,烏云還有安全眾測(cè)����、知識(shí)庫、社區(qū)���、招聘等欄目吸引和聚集“白帽子”��。
安全平臺(tái)烏云創(chuàng)始人方小頓此前接受采訪時(shí)說:烏云核心的運(yùn)營思路就是開放和分享的原則���,信息的流動(dòng)能夠帶來社區(qū)的活躍,在積累了大量的安全問題基礎(chǔ)數(shù)據(jù)之后���,希望能夠與白帽子一起��,除了發(fā)現(xiàn)問題之后還能給大家?guī)砀嗟臇|西���,譬如如何解決和規(guī)避安全風(fēng)險(xiǎn)的問題。
但方小頓在去年4月接受采訪時(shí)又稱���,烏云仍屬于一個(gè)非營利組織�,網(wǎng)站的主要經(jīng)濟(jì)來源由Cncert互聯(lián)網(wǎng)應(yīng)急中心和廣東信息安全評(píng)測(cè)中心提供。
與烏云平臺(tái)類似�����,補(bǔ)天平臺(tái)是360建立的第三方漏洞報(bào)告平臺(tái)����,該平臺(tái)漏洞數(shù)據(jù)與公安部、網(wǎng)信辦和國家漏洞庫同步�����。
通常來講�,這些第三方漏洞平臺(tái)對(duì)信息安全漏洞的發(fā)布和處理,會(huì)經(jīng)過提交漏洞���、漏洞確認(rèn)、通報(bào)產(chǎn)商�、廠商確認(rèn)、廠商修復(fù)五個(gè)步驟�。
其中,第三方漏洞平臺(tái)通常會(huì)給出廠商對(duì)漏洞的確認(rèn)周期���,如果在一定天數(shù)內(nèi)未確認(rèn)�,則會(huì)向公眾公開。
以社保系統(tǒng)漏洞為例��,補(bǔ)天漏洞響應(yīng)平臺(tái)相關(guān)負(fù)責(zé)人稱����,在發(fā)現(xiàn)漏洞后會(huì)第一時(shí)間聯(lián)系系統(tǒng)運(yùn)營單位,告知漏洞存在����,同時(shí)向中央網(wǎng)信辦、國家互聯(lián)網(wǎng)應(yīng)急中心以及公安部相關(guān)部門上報(bào)���。
此外�����,隨著眾包模式的興起和發(fā)展���,安全測(cè)試也進(jìn)入了這一領(lǐng)域,如烏云眾測(cè)��、漏洞盒子等���。
這意味著企業(yè)可在短時(shí)間內(nèi)組建虛擬的安全團(tuán)隊(duì),通過邀請(qǐng)頂尖白帽子模擬黑客對(duì)網(wǎng)站���、系統(tǒng)或產(chǎn)品進(jìn)行測(cè)試,企業(yè)可迅速排查各種安全隱患���,并按效果向白帽子付費(fèi)。
互聯(lián)網(wǎng)安全行業(yè)應(yīng)該受到更高的重視�,還需要國家、企業(yè)�、媒體以及第三方平臺(tái)等參與進(jìn)來。“來自各行各業(yè)的人士會(huì)從不同的角度分析判斷網(wǎng)絡(luò)安全問題��,從而會(huì)更容易發(fā)現(xiàn)漏洞����,減少損失;另一方面�����,企業(yè)的參與也能夠從一定程度上改善白帽子黑客的生活質(zhì)量�,對(duì)其也是一種正確方向的引導(dǎo)��。”
